Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (Spanish)Breadcrumb SeparatorAtención auditores internos: el próximo campo de batalla puede engullir sus redes cibernéticas

Atención auditores internos: el próximo campo de batalla puede engullir sus redes cibernéticas

​En la era moderna del riesgo, cualquier número de eventos puede acelerar la velocidad de desarrollo de los riesgos o aumentar la probabilidad de su impacto en las organizaciones. Esto puede ser tan diverso como incendios forestales desenfrenados en Australia hasta un brote del mortal virus del Ébola en África occidental.

Para las organizaciones estadounidenses este mes, un ataque letal contra un objetivo militar iraní ha generado preocupación por los ataques de represalia, que según el Sistema Nacional de Asesoramiento contra el Terrorismo (NTAS por sus siglas en inglés) aconseja que podrían venir con "poca o ninguna advertencia" Tales ataques no se limitan a las tácticas tradicionales. Es igualmente probable que se presenten en forma de terrorismo cibernético. De hecho, la advertencia del NTAS reconoce esto con la afirmación de que Irán ha estado implicado en ataques previos dirigidos a los EE.UU. y tiene la capacidad para llevar a cabo ataques cibernéticos contra la infraestructura crítica de Estados Unidos.

Para los auditores internos, la advertencia del NTAS debe estimular una acción rápida para evaluar o reevaluar la posición de sus organizaciones en materia de ciberseguridad. Esto no se limita sólo a los auditores de compañías con sede en los EE.UU., ya que muchas empresas de EE.UU. tienen operaciones en todo el mundo y también podrían ser objetivos.

Las organizaciones actuales son altamente dependientes de las comunicaciones y otros sistemas que dependen a su vez de las redes cibernéticas. Los ataques que comprometen esas redes pueden ser más que sólo disruptivos; Pueden ser devastadores. A medida que el mundo ha adoptado la facilidad de conectividad en todo, desde la seguridad en el hogar hasta la operación de sistemas de energía eléctrica inmensos, también se ha vuelto cada vez más vulnerable a los ataques cibernéticos que podrían interrumpir o incluso paralizar economías enteras.

Business Insider publicó un artículo el año pasado que establecía cómo podrían ocurrir tales ataques. Examinó escenarios preocupantes y aleccionadores que muestran cómo un ataque coordinado y de múltiples elementos podría derribar los sistemas fundamentales en los que se basan los negocios y el comercio. Comparó con precisión las consecuencias de tal ataque con un desastre natural importante en el que los sistemas de energía, agua y transporte se interrumpen, y las empresas modernas se detienen.

Algunos podrían burlarse de la probabilidad de tal escenario de fin del mundo, pero esa probabilidad aumenta cada día a medida que el mundo se vuelve cada vez más dependiente de sistemas interconectados y altamente automatizados. Es por eso que proteger la infraestructura pública de los ataques cibernéticos y físicos es vital.

El IIA publicó el año pasado un Global Knowledge Brief para miembros solamente, que se enfoca en el rol de auditoría interna en mejorar la capacidad de recuperación de la infraestructura crítica. Strategic Public Asset Protection da una mirada hacia el rol de la auditoría interna dentro de las entidades del sector público que son responsables de la respuesta y la recuperación ante amenazas naturales o causadas por el hombre a los activos públicos estratégicos, como las redes eléctricas o los sistemas de agua. También aborda la auditoría a la idoneidad y efectividad operativa de los controles sobre la preparación en todas las agencias y niveles del gobierno.

Protiviti proporcionó otro recurso la semana pasada cuando publicó un flash report que presenta un esquema conciso y útil para realizar una evaluación de seguridad cibernética organizacional. La revisión de nueve puntos cubre los pasos básicos pero fundamentales para evaluar qué tan bien una organización protege, detecta y maneja los ataques cibernéticos. Ya que no repetiré los detalles del informe aquí, puedo compartir los nueve pasos:

  • Mejorar la conciencia sobre la seguridad.
  • Identificar los sistemas más críticos.
  • Implementar controles de mitigación para proteger esas tecnologías críticas.
  • Evaluar todos los accesos a sistemas y redes.
  • Incrementar la sofisticación de las estrategias de protección y detección.
  • Buscar y compartir la información más reciente sobre amenazas cibernéticas.
  • Actualizar el proceso de evaluación de riesgos en relación con las amenazas cibernéticas más de una vez al año.
  • Asegurar que la organización tenga un plan de respuesta a incidentes sólido y actualizado.
  • Asegurar que las ciberdefensas estén adecuadamente financiadas y dotadas de personal para gestionar los riesgos y amenazas en evolución.

Es fácil descartar la posibilidad de un ataque cibernético masivo y paralizante como algo descabellado o simplemente otro Cisne Negro. Sin embargo, los cisnes negros -por definición eventos con baja probabilidad y alto impacto- tienen una capacidad de aparecer de vez en cuando. Estar preparado para ellos, especialmente cuando hay mucho en juego, es imprescindible.

Como siempre, espero sus comentarios.

Sobre el autor:

Richard F. Chambers, presidente y CEO del Instituto de Auditores Internos Global, escribe un blog semanal para InternalAuditor.org sobre temas y tendencias relevantes para la profesión de auditoría interna.

Translated by IAI Venezuela and reviewed by FLAI